The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости

18.06.2019 22:43

Опубликованы корректирующие выпуски Firefox 67.0.3 и 60.7.1, в которых устранена критическая уязвимость (CVE-2019-11707), позволяющая вызвать крах браузера при выполнении вредоносного JavaScript-кода. Уязвимость вызвана проблемой с обработкой типов в методе Array.pop. Доступ к детальной информации пока ограничен. Также не ясно ограничивается ли проблема заявленным крахом или потенциально может быть использована для организации выполнения кода злоумышленника.

Дополнение: По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA) уязвимость позволяет атакующему получить контроль за системой и выполнить код с правами браузера. Более того, уже зафиксированы факты совершения атак с использованием данной уязвимости. Всем пользователям рекомендуется срочно установить выпущенное обновление.

Дополнение: Следом доступен новый выпуск Tor Browser 8.5.2, в котором устранена вышеотмеченная уязвимость и обновлена версия NoScript 10.6.3.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Обновление Firefox 67.0.2
  3. OpenNews: Выпуск Firefox 67.0.1 c включением по умолчанию блокировки отслеживания перемещений
  4. OpenNews: Релиз Firefox 67
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:46, 18/06/2019 Скрыто [﹢﹢﹢] [ · · · ]
  • –10 +/
     
     
  • 2.2, Аноним (2), 22:50, 18/06/2019 Скрыто
  • +1 +/
     
  • 2.4, НяшМяш (ok), 22:55, 18/06/2019 Скрыто
  • +2 +/
     
  • 2.5, VINRARUS (ok), 22:56, 18/06/2019 Скрыто
  • +3 +/
     

     ....нить свёрнута, показать (3)

  • 1.3, VINRARUS (ok), 22:55, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как быстро щас латают Firefox с логотипом Ubuntu например?
    Асталось 7 дней...?
     
     
  • 2.14, Аноним (14), 01:08, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот запустил щас обновление. Пришло только новое ядро.
     
  • 2.21, iPony129412 (?), 06:09, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Им уже и так намекают, и эдак... Но не понимают.
    https://snapcraft.io/firefox
     
  • 2.27, th3m3 (ok), 09:52, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Долго. Может вообще не прилететь. Там тормозят до последнего.

    Лучше подключить PPA: https://launchpad.net/~ubuntu-mozilla-security

    С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней.

     
     
  • 3.36, iPony129412 (?), 17:06, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может вообще не прилететь

    Не, если есть секурные измения, то относительно быстро - в течении суток (как и сейчас).
    Но а если их нет, то само собой, что никто подрываться не будет.

     
  • 3.39, VINRARUS (ok), 22:18, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней.

    А я скрипт-обновлятор написал, проверяющий наличие новой версии на сайте при каждом закрытии браузера.
    Просто, удобно, надёжно.

     
  • 2.37, Аноним (37), 18:31, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Kubuntu 18.04 LTS.
    Только что пришло обновление Firefox 67.0.3

    ~$  apt-cache policy firefox
    firefox:
      Установлен: 67.0.3+build1-0ubuntu0.18.04.1
      Кандидат:   67.0.3+build1-0ubuntu0.18.04.1

     
     
  • 3.38, VINRARUS (ok), 22:09, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну сутка не так и плохо.
     

  • 1.6, Аноним (6), 23:00, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Доступ к детальной информации пока ограничен.

    У меня все открывается.

     
     
  • 2.24, Анонимусис (?), 08:34, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Речь про уязвимость, а не about firefox
     

  • 1.7, Аноним (7), 23:22, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А где же Михаил, который скажет, что они в альте заранее знали об уязвимости и даст ссылку на ченджлоги?
     
  • 1.8, InuYasha (?), 23:23, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А для ФФ 50 патчи не подтянут?
    Хоть какой бы фуррифокс, умеющий плагины... (
     
     
  • 2.10, AnonPlus (?), 23:46, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, а с чего именно для этой версии? Это даже не прошлый ESR (который уде не поддерживается).
     
  • 2.16, L29Ah (ok), 01:37, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В PaleMoon подтянут.
     
     
  • 3.22, iPony129412 (?), 06:13, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Месяца через два, как обычно 🙂
    И то может быть, в то если там какой ФуриКон намечается, то уже не до этого. А там уж всё равно про эту уязвимость все забудут, а у фурифокса итак доля весьма небольшая, чтобы уж как-то сильно злоумышленики о нём пеклись... Так что можно будет и вообще забить.
     
  • 3.29, paulus (ok), 10:15, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >В PaleMoon подтянут.

    Ой, ли... :) Не могут даже осилить отключение dpms при видео на полный экран и т.д. :)

     

  • 1.9, Аноним (9), 23:27, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Array.pop.
    > позволяет атакующему получить контроль за системой и выполнить код с правами браузера

    А можно браузер, в котором физически JS отсутствует?

     
     
  • 2.11, Аноним (11), 23:56, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Lynx. Не за что.
     
     
  • 3.15, Аноним (9), 01:13, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя бы TUI бы хотелось всё-таки иметь.
     
  • 2.17, L29Ah (ok), 01:37, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    dillo
     
  • 2.18, Аноним (18), 01:42, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А что вместо JS? Любой встроенный язык несёт потенциальные уязвимости.
     
  • 2.20, X86 (ok), 05:55, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чем вас noscript на все сайты не устраивает? Или отключение js в настройках?
     
  • 2.25, mumu (ok), 09:04, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Лучше интернет без js. Он был прекрасен. Похапэ выполнялось на стороне сервера. Википедия прекрасно без него работала. Что ещё надо?
     
  • 2.35, Аноним (-), 16:07, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Icecat
     
  • 2.41, донни (?), 16:32, 20/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В FF можно его отключить. Идём в about:config, там javascript.enabled поставить в false.
     

  • 1.12, Ivan_83 (ok), 00:21, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже было хотел рестартануть фф, который ещё днём пересобрался, но вспомнил что скрипты выключены на всех сайтах, кроме тех что в белом списке, так что не актуально.
     
  • 1.13, Аноним (13), 00:37, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    быстрее обновляйтесь, они исправили одну и добавили пару новых дыр
     
     
  • 2.19, Аноним (18), 01:42, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда столько пессимизма? Ну или где факты?
     
     
  • 3.23, Дегенератор (ok), 07:49, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это фичи. Пример с Хромом на Винде: я вошел в синхронизированный аккаунт гугл, пароли на сайты сохраняются и вводятся автоматически. При попытке просмотра пароля нужно ввести пароль текущего пользователя винды. Случайный человек, на несколько секунд получивший доступ к браузеру испытает неудобство при желании подсмотреть содержимое пароля. Причем сессия доступности для просмотра пароля ограничена временем. А что в "дружественном сделанном людьми для людей"? Ты маслаешь мастер-пароль каждый раз при запуске браузера, при этом если не закрыт браузер - "для людей", любой мгновенно просмотрит содержимое паролей. (Ну да, сразу посыпятся советы "блокируй вручную/поставь автоблокировку". Но мне удобно использовать автовход с учетными данными, которые не знают другие пользователи, но работают с этой учетной записью).
     
     
  • 4.26, Анон111 (?), 09:25, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Опция называется "Использовать мастер-пароль".
    Ты оправдываешь свой ник.
    Пользуйся и дальше гуглозондами.
     
     
  • 5.32, Дегенератор (ok), 12:30, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Опция называется "Использовать мастер-пароль".
    > Ты оправдываешь свой ник.
    > Пользуйся и дальше гуглозондами.

    Спасибо, Кэп.

     
  • 4.28, ыы (?), 09:54, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >я вошел в синхронизированный аккаунт гугл,

    Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы он открывал вашу квартиру за вас...и утверждаете что это вам это очень удобно.

    Гедонизм как показывает практика кончается плохо.

     
     
  • 5.33, Дегенератор (ok), 12:35, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>я вошел в синхронизированный аккаунт гугл,
    > Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы
    > он открывал вашу квартиру за вас...и утверждаете что это вам это
    > очень удобно.
    > Гедонизм как показывает практика кончается плохо.

    Да, я отдаю ключи от своей квартиры случайным прохожим с улицы. Но я не хочу, чтобы эти ключи (доступ в эту квартиру) получили мои родственники. Можно примеры практики проблем с хранимыми паролями в Гугл и статистику насколько это безопаснее в аккаунте ФФ?

     

  • 1.30, анонимчик (?), 10:39, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в void-е уже накатили
     
  • 1.31, Анимайзер (?), 11:37, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > уязвимость позволяет атакующему получить контроль за системой и выполнить код с правами браузера

    Один из вариантов использования этой уязвимости - установить криптомайнер, который будет ночью тихонечко майнить крипту, пока все спят и ни о чём не догадываются. Биток то уже по 9K$, возникает большой соблазн!

    ПС: И как защититься от этой и от других подобных уязвимостей? Не отключать же JavaScript совсем?!  

     
     
  • 2.40, мяя (?), 15:16, 20/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Клать бинарник в папку с только для чтения, выполнение только для firefox.exe, а саму лису запускать от другого пользователя в песочнике. Будут неудобства с пробросом данных для лисы зато безопасно. Даже если какой-то там майнер пролезет то после перезапуска лисы он слетит, а если попытается записаться как дополнение то тоже слетит т.к. он будет не подписанным.
     
  • 2.42, Аноним (42), 17:39, 20/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 2019
    > майнить бетховен в браузере
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру